저는 IOS 11 IKEv2 클라이언트와 함께 Ubuntu 16.04에서 Linux StrongSwan U5.3.5/K4.4.0-116-generic을 사용하고 있습니다.
내 클라이언트(IOS 11)에서 연결이 성공적으로 설정될 수 있으며 IP 확인 웹페이지(예: myip.com)로 이동하면 VPN 서버의 주소가 표시됩니다.
그러나 HTTPS용으로 동일한 서버의 사용자 정의 포트에 연결하면 IKEv2가 설정되어 있어도 사악한 NAT 방화벽에 의해 차단될 수 있다는 사실을 발견했습니다.
제가 이해한 바에 따르면 IPSEC는 포트 500/4500을 통해 터널을 생성하고 모든 트래픽을 암호화합니다. 그러므로 우리 회사나 다른(국가 수준) 방화벽이 서로 다른 트래픽을 어떻게 구별하는지 궁금합니다. 즉, 임의의 포트에서 내 https 요청을 삭제합니다.
IP 주소를 사용하여 직접 액세스를 시도했습니다.https://xx.xx.xx.xx:12345, 그러나 차이가 없는 것 같습니다.
내 의심은 이 터널이 종단 간(내 iPhone에서 서버까지) 터널이 아니라는 것입니다. 내 아이폰이 NAT 뒤에 있기 때문에 IOS에서 회사 게이트웨이로의 연결이 암호화되지 않습니다. 이것이 이유입니까?
다음은 ipsec.conf 연결입니다:
config setup
cachecrls=yes
uniqueids=yes
charondebug=""
conn %default
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
conn IKEv2-EAP-TLS
auto=add
type=tunnel
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%SERVERIP%
leftid=%SERVERIP%
leftsubnet=0.0.0.0/0
leftcert=vpnSrvCert.der
leftsendcert=always
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightauth=eap-tls
[업데이트] 몇 번의 시행착오 끝에 BillThor가 설명한 이유가 그 이유라고 생각합니다. 검열이 없는 WIFI 환경에서 동일한 (IKEv2) 서버1의 HTTPS 포트에 연결하면 별도의 TCP 링크라는 것을 발견했습니다.
반면, 검열된 WIFI 내부에서 다른 L2TP 서버2(HTTPS가 아님)에 연결하면 원래 서버1의 HTTPS 포트에 성공적으로 연결할 수 있었습니다.
답변1
VPN 트래픽은 패킷 검사를 통해 쉽게 감지되며, 이 경우에는 사용 중인 포트만으로 감지됩니다. 귀하의 회사가 귀하가 무엇을 시도하거나 하고 있는지 알고 있을 가능성이 높습니다.
VPN에 연결하는 데 사용하는 것과 동일한 IP 주소에 연결하려고 하면 VPN으로 전송되지 않습니다. 최소한 VPN 서버의 주소는 직접 연결됩니다. VPN은 VPN에서 사용하지 않는 포트로 대상을 라우팅할 수 있습니다.
귀하의 오른쪽은 10.0.0.0/8 개인 주소 공간에 있으므로 귀하의 IP 주소는 귀하 측에서 네트워크 주소 변환을 받게 됩니다. 동일한 LAN에 있는 여러 장치가 동일한 원격 VPN 서버에 연결되어 있으면 손상되기 쉽습니다.
브라우저 트래픽이 항상 VPN으로 라우팅되도록 하려면 VPN을 통해 연결할 수 있는 주소에서 프록시 서버를 사용하도록 브라우저를 구성해야 합니다. 귀하의 주소가 로컬 IP 주소로 표시되면 VPN을 통과하는 것입니다.